October 19, 2021

Phòng chống rò rỉ dữ liệu nhạy cảm trên Google Cloud Platform

Ở thời đại công nghệ số 4.0. Dữ liệu ngày càng trở nên quan trọng. Việc bảo vệ dữ liệu được xem như là ưu tiên hàng đầu. Ngoài những thông tin được lưu trữ cẩn thận với nhiều lớp bảo vệ. Dữ liệu rất nhiều loại dữ liệu và mức độ bảo mật tương ứng của nó. Đồng thời, dữ liệu được sử dụng nhiều trong phân tích bởi vài người hoặc nhiều người. Một số thông tin có ích cho phân tích như “số lượng giao dịch“, “số tiền giao dịch“,….Những thông tin này thường được sử dụng rất nhiều trong phân tích, học máy, dự đoán, đưa ra quyết định,… Nó giúp ích rất nhiều cho doanh nghiệp.

Nhưng cũng có một số thông tin không có ích cho phân tích như “số điện thoại“, “email“, “số cmnd“,…. nhưng vô tình những thông tin này bị rò rỉ ra bên ngoài thì có thể gây nhiều hệ lụy không đáng có.

Chúng ta hãy xem một đoạn văn bản đơn giản bên dưới

sdt: +84 982 5626 596, cmnd 9 số kiểm tra thử là 123456789 và kiểm tra cuối cùng là số thẻ visa thử xem Cloud DLP có phát hiện ra hay không? 4242424242424242

Đoạn văn bản bên trên, bạn nhìn vào trong rất bình thường nhưng hãy nếu là dữ liệu thật và rò rỉ ra bên ngoài thì đây là thảm họa. Nhưng dữ liệu trên có thể rất nhiều, khó có thể kiểm soát bởi con người. Do đó mình cần phải có công cụ để giúp mình che hay là loại bỏ những thông tin có thể gây hại cho người dùng hoặc công ty.

Google Cloud Data Loss Prevention

Với Google Cloud Platform (GCP), việc bảo mật dữ liệu được đặt lên hàng đầu. Ngoài các sản phẩm về mã hóa dữ liệu. Google còn đưa ra công cụ để ngăn ngừa việc rò rỉ dữ liệu nhạy cảm trước khi lưu trữ hoặc ngay từ lúc phát sinh.

Cloud Data Loss Prevention hay còn gọi là Cloud DLP. Một sản phẩm quan trọng nằm trong nhóm sản phẩm GCP’s Trust & Security đã triển khai trên GCP từ rất sơm. Trước đây bị đa số mọi người lướt qua hoặc không quan tâm lắm đến nó. Một phần là do trước đây mọi người thường không quan tâm đến các thông tin cá nhân – thông tin nhạy cảm định danh đến khi Facebook bị rò ri thông tin của hơn 200 triệu người dùng năm 2019 thì việc quan tâm đến dữ liệu cá nhân mới được ngày càng được quan tâm hơn.

Quay lại vấn đề mà tôi đặt ra ở bên trên. Đối với Cloud DLP sẽ dễ dàng phát hiện ra các thông tin nhạy cảm như “số điện thoại“, “số cmnd“, “số thẻ visa“.. và nhiều thông tin khác. Bạn có thể Data Loss Prevention Demo

demo về Cloud Data Loss Prevention
Hình 1: demo về Cloud Data Loss Prevention

Cloud DLP – hiện được triển khai trên nền tảng GCP. Nó cung cấp giao diện người dùng trực quan và hỗ trợ các API sẵn sàng tích hợp vào các ứng dụng. Là sản phẩm Serverless và đã đạt được một số chứng nhận hàng đầu thế giới về bảo mật được liệt kê ở bên dưới:

Cloud DLP is listed in the following certifications and documents:
ISO/IEC 27001

ISO/IEC 27017:2015

ISO/IEC 27018:2014

Payment Card Industry Data Security Standard (PCI DSS)

HIPAA business associate agreement (BAA)

Multi-Tier Cloud Security (MTCS) Singapore Standard (SS) 584

Theo: Google Cloud’s Cloud DLP data security

Bên dưới là giao diện của Cloud DLP trên GCP.

Giao diện Cloud DLP trên GCP.

Hình : Giao diện Cloud DLP trên GCP.

Nguyên tắc hoạt động của Cloud DLP rất đơn giản, có thể gói gọn trong 2 bước chính:

Detect:
Sử dụng detector – bộ dò được định nghĩa trước. Tính đến thời điểm viết bài viết này thì Cloud DLP hỗ trợ hơn 120 bộ detector tích hợp sẵn bao gồm những bộ detector dùng  chung cho toàn cầu và một vài bộ detector đặc thù dành riêng 37 quốc gia trên thế giới. Theo mình tìm hiểu được thì không có bộ detector dành riêng cho Việt Nam. Do trong hơn  120 bộ detector toàn cầu thì Việt Nam đã khớp rất nhiều rồi. Nếu bạn cần một bộ detector dành riêng cho công ty, bộ phận,… thì Cloud DLP cũng cho phép bạn tùy biến theo nhu cầu của mỗi người dùng. Người dùng có thể tạo custom detector theo nhu cầu của mình. Bạn có thể tìm hiểu thêm ở đây (InfoTypes and infoType detectors)

Hình 2: Một số detector toàn cầu đã được định nghĩa sẵn.
Hình 2: Một số detector toàn cầu đã được định nghĩa sẵn.

Action:
Sau khi phát hiện các vấn đề liên quan. Cloud DLP phân loại, che dấu, mã hóa và chuyển đổi các yếu tố nhạy cảm để giúp bạn quản lý tốt hơn dữ liệu mà bạn thu thập, lưu trữ hoặc sử dụng cho kinh doanh hoặc phân tích.

Hình 3: mask dữ liệu

Hỗ trợ nhiều dạng dữ liêu khác nhau

Cloud DLP có hỗ trợ riêng để quét và phân loại dữ liệu nhạy cảm trong Cloud Storage, BigQueryDatastore và thực hiện một số thao tác như:

  • Ghi lại kết quả vào BigQuery, Cloud Storage, Datastore ,.. sau khi che dấu dữ liệu.
  • Gửi báo cáo nơi về quản lý rủi ro trên Cloud Security Command Center.
  • Đẩy thông tin cảnh báo về cho những người liên quan đã được cấu hình sẵn như email, số điện thoại thông qua Cloud Pub/Sub.
Hình 4: Hỗ trợ những dữ liệu dạng lưu trữ.
Hình 4: Hỗ trợ những dữ liệu dạng lưu trữ.

Ngoài những dữ liệu được lưu trữ ở BigQuery, Cloud Storage ,… thì Cloud DLP còn có hỗ trợ những dữ liệu Stream thông qua API dễ dàng tích hợp và Application, Web, Mobile.

Một tính năng rất hưu ích trong khi giao thức này ngày càng phổ biến trên thế giới. Việc phòng chống rò rỉ dữ liệu nhạy cảm ở mọi lúc, mọi nơi thật sự là điều rất cần thiết đảm bảo dữ liệu luôn được xử lý trước lưu trữ hoặc đưa ra bên ngoài.

Hình 5: Hỗ trợ dữ liệu Streamming
Hình 5: Hỗ trợ dữ liệu Streamming

Với giao diện đơn giản, dễ sử dụng và nhiều tính năng hữu ích với dữ liệu mà mình nghĩ ở thời đại số hóa đang diễn tra thì bên cạnh việc lưu trữ ,mã hóa dữ liệu thì việc phòng chống dữ liệu nhạy cảm rò rỉ ra bên ngoài thì Data Loss Prevention với GCP là một sản phẩm bạn không thể bỏ qua. Bên trên tôi chỉ giới thiệu cơ bản về nó, còn nhiều tính năng hữu ích đang chờ bạn khám phá và ứng dụng.

Liên hệ ngay với chúng tôi, Cloud Ace Việt Nam để được tư vấn về G Suite, GCP.

Resource:

Bao Vuong

Vương hiện là Cloud Engineer của Cloud Ace Vietnam.+6 năm kinh nghiệm phát triển backend +2 năm kinh nghiệm Data Analytics +1 năm kinh nghiệm Machine Learning

View all posts by Bao Vuong →

Leave a Reply

Your email address will not be published. Required fields are marked *